Unidad 24 Forensics LO1: Procesamiento Forense I - Artifacts Artefacto Forense Los artefactos forenses son objetos que tienen valor forense. Es decir, cualquier objeto que contenga datos o pruebas de algo que haya ocurrido. Como los logs o los registros por nombrar algunos. En forense lo mas importante es saber que artefactos aportaran mas valor en cada investigación y extraer la máxima información de ellos. LO1: Procesamiento Forense I - Artifacts Tipos de Artefacto • Windows Registry: El registro de Windows se divide en 4 hives de sistema y 2 hives de usuario de los que podemos extraer mucha información forense • Internet Artifacts: Los artefactos de internet se extraen de navegadores o programas de mensajería y aportan mucha información como el historial, habitos de uso de internet o conversaciones con otros usuarios. • Disk Artifacts: Artefactos de disco como la MFT (Master File Table) nos muestra información sobre todos los ficheros almacenados y su uso. • Events Artifacts: Los eventos nos dan información sobre todos las acciones relevantes que suceden en los sistemas operativos • Others: Existen miles de artefactos y cada vez aparecen mas: Prefect, Shimcache, Amcache, SRUM… LO2: Procesamiento Forense I - Artifacts Herramientas Generalistas Este tipo de herramientas son las mas usadas en forense ya que permiten extraer un gran numero de artefactos desde la misma aplicación de un modo fácil y cómodo. Exceptuando herramientas como Autopsy, estas herramientas suelen tener un coste muy elevado. Algunos ejemplos serian: Encase, Axiom, FTK, Autopsy… PROS CONTRAS • • • • • Facilidad de uso Casi cualquier tipo de evidencia Validez jurídica Correlación de información. • • No soportan todo tipo de artefactos El precio suele ser muy alto No escalan bien en casos con alto numero de evidencias LO2: Procesamiento Forense I - Artifacts Herramientas Especialistas Este tipo de herramientas están diseñadas para procesar algunos tipos de artefactos muy específicos habitualmente porque aportan algo que no tienen las herramientas mas generalistas o porque son las únicas que procesan un tipo de artefacto. PROS CONTRAS • • • • • • • Información extra Precio reducido Integración y scripting Escalabilidad Mayor complejidad Baja validez jurídica Suelen tener que combinarse con otras herramientas para funcionar correctamente LO2: Procesamiento Forense I - MFT Artefactos de disco - MFT El primer fichero que nos encontramos en un disco con un sistema de ficheros NTFS es el correspondiente a la MFT ($MFT), Master File Table, que se crea al mismo tiempo que se formatea el volumen como NTFS. Como todo lo que se graba en el disco se considera un fichero, cualquier modificación que se realice en el sistema se grabará, como un registro de metadatos, en el archivo MFT, que contiene incluso información de los archivos de sistema y que almacena todos los ficheros y directorios, con varias propiedades. LO2: Procesamiento Forense I - MFT Artefactos de disco – Procesar MFT 1) Crear el body file. El body es el parseo directo de la MFT. Se pueden usar herramientas como “fls” o “analyzeMFT”. Ex: fls -o <sectoroffset> -m <drive> -r <evidence path> > evidence.body fls -o 63 -m “C:” -r /home/forest/evidence/jean.E01 > evidence.body 2) Crear un filesystem timeline. El filesystem timeline permite ordenar temporalmente los eventos de disco. Se pueden usar herramientas como “mactime”. Ex mactime -d -b <body file> > filesystemtl.csv mactime -d -b evidence.body > filesystemtl.csv LO2: Procesamiento Forense I - MFT Artefactos de disco – Procesar MFT 1) Crear el body file. El body es el parseo directo de la MFT. Se pueden usar herramientas como “fls” o “analyzeMFT”. Ex: fls -o <sectoroffset> -m <drive> -r <evidence path> > evidence.body fls -o 63 -m “C:” -r /home/forest/evidence/jean.E01 > evidence.body 2) Crear un filesystem timeline. El filesystem timeline permite ordenar temporalmente los eventos de disco. Se pueden usar herramientas como “mactime”. Ex mactime -d -b <body file> > filesystemtl.csv mactime -d -b evidence.body > filesystemtl.csv LO2: Procesamiento Forense I - MFT Artefactos de disco – Time Format • Modify: A file's modification time describes when the content of the file most recently changed. • Access: A file's access time identifies when the file was most recently opened for reading. • Change: The time when certain file metadata, not its contents, were last changed, such as the file's permissions or owner • Birth: The time when file was created in filesystem. LO2: Procesamiento Forense I - MFT Artefactos de disco – Time Format • Modify: A file's modification time describes when the content of the file most recently changed. • Access: A file's access time identifies when the file was most recently opened for reading. • Change: The time when certain file metadata, not its contents, were last changed, such as the file's permissions or owner • Birth: The time when file was created in filesystem. LO2: Procesamiento Forense I - MFT Artefactos de disco – inodo Un inodo es una estructura de datos que almacena información sobre un fichero de nuestro sistema de archivos. Un inodo no tiene nombre y se identifica mediante un número entero único. Cada inodo únicamente puede contener datos de un solo fichero del sistema de archivos. Por lo tanto, si tenemos 4 archivos y 4 directorios estaremos usando 8 inodos. Se puede extraer un dato sabiendo su inodo con el comando icat: icat –o <sector offset> <path evidence> <inode> > <filename> Icat –o 63 bridge/ewf1 17441 > test.json LO2: Procesamiento Forense I - Challenge Challenge I • • Procesar la MFT de la evidencia de Jean Extraer con icat el fichero m57biz.xls LO2: Procesamiento Forense I - Challenge Challenge II • Extrae de la evidencia todos los ficheros de buzón de correo (PST) ¡Muchas gracias! MIGUEL QUERO miguel.quero.rodriguez@gmail.com